Иван Мараховка

Как наш сервис WEEEK подвергся крупнейшей DDoS-атаке

Всё больше сервисов в последние дни сталкиваются с киберпреступлениями — например, RuTube лежит уже 3-й день. Но мы не ожидали, что в какой-то момент DDoS-атака коснётся и нашего сервиса.

Утро 11.05,10:04. Сегодня утром я получил сообщение в телеграм от нашего, наверно, самого старого и преданного пользователя:

Ровно через 2 минуты после сообщения наши сервера легли. WEEEK внезапно попал в список платформ, которые подвергнутся кибератаке. Почему небольшой сервис попал в список наряду с крупными компаниями (RuTube, тендерные площадки и т. д.) — не знаю.

Мы уже сталкивались с попытками взлома и атаками, но всё решалось блокировкой пакетов IP-адресов, и сервер не ложился. Здесь ситуация сложнее.

Через 5 минут пошли сообщения от пользователей, что они не могут работать.

Утро 11.05, 10:41. Первый шаг — оповещаем пользователей, что сервис не доступен.

Пока мы решали проблему, мне написали два крупных клиента и подсказали решение.

Атака довольно большая. То, что я смог зафиксировать - это около 200 тыс. запросов в секунду. Скорее всего число в 2-3 раза выше.

Что в итоге сделал — взял новый IP-адрес, домен увёл под Cloudflare, включил режим «под атакой» — всё снизилось и сайт заработал.

Основные регионы атаки — Украина, Германия, Штаты, Китай. Но много IP и из РФ. Поэтому, если можете не на уровне сервера (а, например, провайдера) отключать страны — можно так попробовать.

Пользователь WEEEK

На 12:10 сила атаки уменьшилась на 30%.

На скрине выше — нагрузка на сервер. Когда одно ядро процессора загружено на 100%, там цифра 1, а когда все — 12. Сейчас там 268. Нагрузка в 20 раз выше той, которую мы могли выдержать. На текущий момент мы продолжаем решать проблему.

Update: вечер 11:05, 23:16. Атаки продолжаются, но уже с меньшей силой.

Снизили уровень атак с 268 до 161

Update: утро 12.05, 10:26. Сервис заработал по новой ссылке:

Если вы наш клиент — спасибо, что вы с нами. ❤

Если вы наш коллега по рынку — обезопасьте себя заранее.

Актуальные новости о работе сервиса ищите в нашем телеграм-канале — https://t.me/weeek_ru и в чате — https://t.me/Weeekchat

0
20 комментариев
Написать комментарий...
Артём Ростомян

Хохлы..

Ответить
Развернуть ветку
Сергей Сма

Иш ты, недовольны, что по ним ракетами стреляют и их города уничтожают вместе с жителями! Ещё и огрызаются как попало и не туда

Ответить
Развернуть ветку
Artem Kursaev

ВМЕСТЕ С ЖИТЕЛЯМИ)))

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Artem Kursaev

Не собираюсь верить псевдоисточнику, у которого гендиректор с фамилией на ко. Я не считаю всех людей с такой фамилией националистамии русофобами, но если сопоставить этот факт и то, что написано на странице по ссылке, то все становится понятно.

Ответить
Развернуть ветку
Artem Kursaev

Еще интересно, у меня в Казахстане даже этот источник не открывается без VPN, что свидетельствует о том, что там явно что-то не чисто.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Flowlu

Ох, знаем каково это, сами недавно попали под DDoS-атаку из-за рубежа, команда всю неделю давала отпор, приятного мало. Желаем удачи и терпения вам, пусть все разрешится как можно скорее! 🙏

Ответить
Развернуть ветку
Иван Мараховка
Автор

Спасибо!

Ответить
Развернуть ветку
Pavel

200к это не крупная атака

Ответить
Развернуть ветку
К М

ну если сравнивать с масштабом сервиса...

Ответить
Развернуть ветку
Павел Байбахтин

что это за развлечение такое у хакеров ломать сайты

Ответить
Развернуть ветку
Иван

Это не DDOS-атака, это "спецоперация"...

Ответить
Развернуть ветку
The Cat

Это не минусы... Ну, сам знаешь

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Тимур Мунтян

жiвi Weeek

Ответить
Развернуть ветку
И животноводство

Удивительно, вас-то за что?

Ответить
Развернуть ветку
Иван Мараховка
Автор

Сами не очень понимаем)

Ответить
Развернуть ветку
Забор крови

Возможно, сервис попался на глаза в списках импортозамещения как замена trello. Гугл-запрос "weeek замена trello" выдаёт вполне релевантные результаты именно в рамках этой ситуации.

Ответить
Развернуть ветку
Leha Shum

Маловато будет. Я думал там серьёзные атаки.

Ответить
Развернуть ветку
Александр Филиппенко

Под юдп флудом у нас была LA 1000+ ) и увести домен под клаудфларе когда ай пи основного сервера уже известен такое себе. Решить проблему удалось запретом в фаерволе команд из пары строк.

Ответить
Развернуть ветку
В А

Статья как надо было сделать, но я не сделал! Сайт не доступен, днс рег ру. Скорее всего никакой ддос и не было, какой то косяк с программным обеспечением. Такое часто бывает: программисты накосячат, а руководство заявляет нас ддосят)) давайте уже не валяйте дурака, ремонтируйте сайт и работайте дальше.

Ответить
Развернуть ветку
Иван Мараховка
Автор

Если бы. Но, к сожалению, это атака, таких проблем раньше никогда не было)

Ответить
Развернуть ветку
Читать все 20 комментариев
null